WSI使用手册.doc

WSI V5.1.25使用手册 ? 2012 WST ■ 版权声明 本软件为狼族独立开发，版权归狼族所有。你可以分发该软件，但是请署名版权。本软件仅供测试使用者自己的系统，请慎重慎用本软件，非法使用产生的风险由使用者自己承担。 目录 前言 1 一. 概述 2 1.1 软件概述 2 1.2 狼族简介 2 二. 软件的使用 3 前言 文档范围 本文主要描述狼族Mysql5注射工具的主要功能模块和使用方法。 期望读者 期望了解本软件的朋友，本文假设您对下面的知识有一定的了解： Php语言和mysql数据库 注射漏洞 操作系统 获得帮助 获取网络安全相关资料可以访问狼族网站：/ 技术交流论坛：/forum/ 概述 软件概述 本软件是专门用来通过注射点获取数据库的内容的，要求数据库版本mysql=5。具体的原理参考网上相关文章。软件MD5值为994AEC04A781CCEE018F78F56FF85D8E，请自行校验。 狼族简介 狼族的真正含义并不仅仅在于我们觉得自己是一群狼。我们曾被生活馈赠了太多太多的礼物。社会最底层的挣扎，无数个黑夜的失败，无数个人生路口一无是处艰难的选择，无数个曾经对着天空、对着自己撕吼了沙哑的声音，无数个像肥皂泡一样易碎的梦.......太多太多的看着曾经的满载的希望、理想一步步的离我远去，我们并没有心酸，正是这些才造就了我们永不言弃的精神。在黑夜中寻找那条人们所谓路的我们，为了找会属于我们的自由，属于我们自己的天空。我们对着生活，用最后那点沙哑的声音， 对着那些阻挡我们的东西撕吼。那条路就在前方，我们奋力的奔跑，把所有生活的得失在一刹那统统抹去。那条属于我们的路正在敞开，黑暗中狼群的一双双的眼睛正在像星光一样点亮这个世界，那个曾经被人遗忘的世界，遗忘的城市，还有那些随风而去的岁月。这是一个狼族复兴的时代。网络安全就像一场雨，大家就像雨中的雨滴，寻梦的雨滴，雨滴不断的汇集凝聚，形成了我们自己的圈子。我们用我们的智慧，我们的创造力，在数字世界里谱写我们的数字人生，来真正的实现那句话： Think Green, Be Accountable, Create Value.We can do more.遨游在安全里的所有coders,不要被任何的数字思维定式所束缚住，我们要追求真正体现自己存在价值的精神，而不是把它当做一句空话url应该是有注射漏洞的点。要连union一起，就像/x.php?id=10 and 1=2 union select 1,2,3,4,5比如第个数字会在页面上显示，那么你就将数字替换成“”,而且最后不要跟注释符（因为程序会在提交的时候自动加上），最终的url如下：/x.php?id=10 and 1=2 union select 1,2,loveuk,4,5 设置好这个点，可以选择注射类型，这里以GET类型为例子做示范。HexEnCode一般不要选上，除非出现编码不匹配的时候才需要，空格默认是用/**/替换的，可以根据具体情况修改。 设置好后点GO,就可以开始注射了，很快数据库里面的所有库就都被列了出来，如图二。下一步操作，选中你要猜解的数据库库名，右击，选择list tables即可。猜解完表名，可以选在你需要的表来猜字段，方法和选择数据库名时一样，右击选择list Fields,如图三、图四。最后一步是读取数据，将你感兴趣的那个字段其面打上钩即可，右击选择read dates就可以得到你想要的数据了！如图五。整个过程中你不必等到每一步都进行完了再进行下一步，如果你感性趣的内容已经出来了，只要单击STOP按钮程序即可停止。 另外，软件还集成了利用注射读文件的功能，如图六，选择readfile，然后在弹出的对话框中数据你要读的文件的绝对路径即可，不过要求有文件权限才可以。 附: 较前一个版本该，版本增加了进度条显示，方便用户使用本软件时，可以清除明了的知道当前数据读取进度；另一个新功能是增加了表的记录数显示功能，可以快捷的查看对应数据库中各各表的记录总数,以便用户操作。 图一：软件界面 图二：获取所有库名 图三 获取表名 图四 获取字段名 图五 读取数据 图六 读取文件 安全服务部资源配置系统 安全服务部资源配置系统 - III - 极光远程安全评估系统用户使用手册 ? 2012 WST - 11 -